Blog da AuditSafe, participe!

 

 

 

 

AuditSafe amplia seu portfólio e
conquista denominação PCI-QSA


De: Fernando Ferreira, CEO da AuditSafe

Data: 05/09/2018

A partir de agora, a AuditSafe e sua equipe especializada estão qualificados para prestarem auditorias de certificação em PCI-DSS.
 

Em 2006, as principais bandeiras de cartão do mundo se uniram com o objetivo de tornar as operações mais seguras, resultando na criação do Payment Card Industry Standards Council. Desse conselho, foi estipulado um conjunto de requisitos mínimos de segurança para empresas que processam, transmitem e armazenam informações de cartões de crédito, o Payment Card Industry Data Security Standard (PCI DSS).
 

Para muitas empresas de auditoria e consultoria, conseguir a qualificação de Qualified Security Assessor é um processo complicado. O PCI Council exige um altíssimo padrão de qualidade em seus relatórios. Além de conhecimento técnico muito específico dos profissionais em Segurança da Informação, também é preciso o conhecimento nas regras de negócios, tornando a conquista da certificação ainda mais difícil e complexa.
 

Pensando na segurança e conformidade de seus clientes com os requisitos do PCI-DSS, a AuditSafe aprimorou seu processo de revisão da qualidade (Quality Assurance), aprovado pelo PCI Council, sendo seu sócio e fundador participante desse fluxo e também certificado como Qualified Security Assessor (QSA).
 

No Brasil
 

O brasileiro é um consumidor que, infelizmente, está habituado à sensação de insegurança ao fazer uma transação financeira. Não é para menos. Um recente estudo intitulado Raio-X da Fraude revelou que o e-commerce nacional, por exemplo, sofreu uma tentativa de golpe a cada cinco segundos e a maior parte deles ocorreu a partir de compras feitas com cartões de crédito clonados. O ponto é que a indústria de cartões de crédito movimenta milhões de reais diariamente e se tornou um dos alvos preferidos dos cibercriminosos.
 

As condições de segurança do PCI-DSS se aplicam aos componentes que participam diretamente do processamento de dados de cartão de crédito, ou seja, servidores de rede, aplicativos, bancos de dados, entre outros. Informações como nome, número do cartão e código de segurança devem ser protegidos para a segurança dos portadores de cartões.
 

Bancos, processadoras, provedores de serviços de pagamentos, agências de viagens, companhias aéreas, lojas de e-commerce e demais instituições financeiras e de meios de pagamentos que desejam implementar o padrão PCI-DSS devem consultar e ser acompanhadas por uma organização que tenha a denominação QSA – Qualified Security Assessor, como é o caso da AuditSafe.
 

Será ela a responsável por auxiliar e auditar a instituição em busca da certificação. Para que a companhia seja auditada, ela deve atingir todos os requisitos e processos estabelecidos pelo padrão para estar em conformidade e consequentemente mais segurança nas transações.

 

Precisa de ajuda? Vamos conversar? Entre em contato.

 

 

 

 

 

Foi invadido?
Saiba como criar um plano efetivo de resposta a incidentes?


De: Fernando Ferreira, CEO da AuditSafe

Data: 28/08/2018

Existe uma máxima no mundo da Tecnologia que diz o seguinte: “Toda empresa sofrerá um ataque virtual, é só uma questão de tempo”. 

 

A afirmação considera inúmeros fatores, entre eles: não existem tecnologias 100% seguras, pessoas falham, os ataques estão cada vez mais sofisticados e os investimentos para a área de Segurança não correspondem às necessidades dos atuais gestores de SI. Mas já que sofrer um ataque é inevitável, você pode ao menos ter um bom plano de resposta para minimizar o impacto e as consequências do incidente. 

 

Ao detectar um problema, o responsável deve trabalhar rapidamente na identificação da origem, avaliar o impacto e traçar um plano para a contenção. Uma das formas para mensurar as consequências pode ser por meio de uma BIA (Business Impact Analysis – análise de impacto nos negócios) ou através de um cálculo de perdas operacionais e financeiras. Situações que envolvem danos à imagem são mais difíceis de medir quantitativamente.

 

O plano de resposta deve ser elaborado pela área de Segurança da Informação (CSIRT), que assumirá a responsabilidade. No entanto, o programa exigirá sempre interação e interdependência das áreas de suporte (por exemplo, a infraestrutura de TI) e de negócios, principalmente no que tange a severidade e criticidade do incidente para a organização. Incidentes menores podem ser comunicados periodicamente ao board, enquanto os mais graves têm de ser reportados imediatamente.

 

Um plano eficiente de gestão de resposta a incidentes é composto por alguns processos: rastreabilidade das ações realizadas, identificação da origem do problema, a preservação das evidências (que poderão ser utilizadas para questões legais, posteriormente), fortalecimento da comunicação entre todas as áreas envolvidas e no reporte ao board, informando-o sobre o impacto do incidente.

 

Treinamentos periódicos ajudam na harmonia entre as partes envolvidas para que os processos de resposta a incidentes e gerenciamento de crises sejam melhorados continuamente. Eles são fundamentais para o desenvolvimento das lições aprendidas, revisão dos procedimentos existentes, estruturação das bases de conhecimentos e readequação dos cenários de testes contemplando novas ameaças. 

 

Infelizmente, muitas empresas ainda possuem uma visão reativa frente aos riscos que podem enfrentar. Mas o atual cenário exige que as organizações sejam mais proativas e preventivas, principalmente quando se trata de assuntos relacionados à Segurança da Informação e aos dados dos seus clientes.

 

Realizar um Diagnóstico de Riscos de SI para que as instituições tenham uma percepção mais real dos riscos os quais estão sujeitos facilita na hora de estruturar um plano de resposta mais efetivo. Somente dessa forma as pessoas envolvidas saberão lidar com as possíveis crises quando elas vierem a acontecer.

 

Entre em contato com a AuditSafe para uma conversa!

 

 

 

 

 

Por que estar em conformidade com leis e regulamentações é tão importante para a sua empresa?


De: Fernando Ferreira, CEO da AuditSafe

Data: 16/08/2018

A Segurança da Informação nunca esteve tão em evidência como nos dias de hoje.

 

Desde o fatídico 12 de maio de 2017, quando o mundo foi pego de “surpresa” pelo Wannacry (ransomware que fez mais de 300 mil vítimas em cerca de 150 países), o tema ganhou sobrevida dentro das organizações. Tanto que de lá para cá foi possível perceber uma grande movimentação no mercado e novas resoluções, regulamentações e propostas de leis foram criadas a fim de proporcionar um ambiente mais seguro para os negócios digitais.
 

GDPR, LGDP, Resolução 4.658, ISO27001, NIST, CobiT...
 

Todas elas têm um papel fundamental para as companhias hoje, independente do porte ou segmento em que atua. Elas são produtos originados a partir de anos de experiência e estudos. Consequentemente, todos as empresas podem se beneficiar e gerenciar seus riscos tecnológicos, cibernéticos e corporativos se as utilizarem corretamente. Até já falei aqui, em meu artigo anterior, que a Gestão de Riscos Cibernéticos pode alavancar os negócios quando bem aplicada.
 

No entanto, muitas empresas fazem gastos elevados (e muitas vezes, desnecessários) em tecnologias que prometem deixá-las em conformidade com tais regras, quando na verdade deveriam inicialmente realizar um diagnóstico para ter um retrato de sua situação atual. 
 

Por meio desse trabalho, as organizações saberão seu grau de aderência às regras desejadas, seu nível de maturidade e os riscos dos controles das normas frente aos negócios. Através desse relatório (que nada mais é que um Plano Diretor) ficará mais fácil para as companhias decidirem o quanto desejam investir, mensurando os riscos que desejam evitar.
 

Algumas pequenas e médias empresas tendem achar que, por serem menores, não serem tão desejadas por atacantes ou terem faturamento elevado não precisam se preocupar com essas regras. Ledo engano! Por mais que elas utilizem recursos tecnológicos, seja um firewall, ferramentas de prevenção ao vazamento de dados ou de criptografia de dados, não dá para desconsiderar o fator humano. Ou seja, de nada adiantam tecnologias se o funcionário da empresa ou o parceiro burlar os controles de segurança (seja de maneira intencional ou acidental). 
 

Atualmente há um grande esforço a ser desenvolvido quando o assunto é Conscientização em Segurança, Cyber Awareness ou Educação Digital. É preciso investir em um Programa Contínuo de Conscientização, considerando e-learning, simulações de phishing, jogos entre as áreas e materiais informativos, e não apenas realizar palestras. Qualquer regra, resolução, norma e boa prática abordará esse tema.
 

As leis e regulamentações brasileiras vigentes hoje são comparadas às internacionais e, a Lei Geral de Proteção de Dados aprovada, o Brasil estará entre um seleto time de países que têm leis específicas para proteger os dados dos cidadãos. Isso quer dizer que estamos entrando em um caminho sem volta.

 

Outras leis e regulamentações virão. Estar em conformidade com elas é um diferencial competitivo.

 

Entre em contato com a AuditSafe para uma conversa!

 

 

 

 

 

Prezado CEO,

Você Sabia que a Segurança da Informação
é Estratégica para o seu Negócio?


De: Fernando Ferreira, CEO da AuditSafe

Data: 07/08/2018

A “transformação digital” se tornou um dos termos mais mencionados pelos executivos de negócios nos últimos anos.

 

A busca por mais agilidade nas decisões, inovações tecnológicas, novas oportunidades de negócios e na maneira de interagir com os clientes são apenas algumas das razões que levaram os CEOs do mundo todo a investir tanto nessa nova Era Digital.

 

Infelizmente, os investimentos em Segurança não tiveram a mesma prioridade e os resultados podem ser vistos hoje com cada vez mais frequência: vazamento de dados, segredos comerciais revelados, dano à reputação da marca, perda de credibilidade, operações paralisadas, prejuízo financeiro, entre outros. Parte dessas consequências se deve, principalmente, ao distanciamento entre o Conselho de Administração e os profissionais de Segurança e Tecnologia da Informação.

 

A ausência dos responsáveis pela Segurança da Informação (SI) nas decisões do board é algo que precisa ser revisto dentro das organizações em caráter de urgência. Na maioria das instituições, o tema de SI está restrito aos Comitês de Auditoria, que solicitam esporadicamente a presença de um "C?O" para defender um projeto ou explicar algum incidente quando ocorrido. Mas, o fato é que as empresas precisam de um membro fixo no board com conhecimento em Segurança e Tecnologia da Informação.

 

O CEO precisa ter clara visão de que, para levar o negócio ao sucesso, deve encarar os assuntos de Tech e Cyber como oportunidades e impulsionadores dos negócios fazendo a Gestão dos Riscos Cibernéticos, ou seja, temas inerentes, integrados, que se complementam, onde não é possível fazer um sem investir no outro.

 

Muitas empresas ainda enxergam a área de Segurança da Informação como um centro de custo, e não como uma aceleradora dos negócios. É preciso mudar o mindset e ver a Cyber Security como  vantagem competitiva frente a concorrência.

 

A SI pode ser perfeitamente utilizada de maneira estratégica, como propulsora de inovações se dimensionada corretamente, afinal de contas, em um mundo cada vez mais digitalizado e ameaçado pelos riscos virtuais, a segurança tem tudo para ser o elemento-chave que definirá a escolha do cliente por determinado produto ou serviço no futuro. Você não vai querer perder essa chance, vai?

 

Não sabe por onde começar? Fale comigo, que posso te ajudar!

 

 

 

 

 

PenTest:
O que é, pra que serve e com qual frequência deve ser feito?

De: Fernando Ferreira, CEO da AuditSafe

Data: 19/07/2018

Quando foi a última vez que você fez um PenTest na sua organização? Ele foi realizado por uma equipe especializada?

 

O fato é que por mais que você tenha uma equipe de Tecnologia ou Segurança na sua empresa, é essencial contar com uma empresa especializada para realizar os testes de intrusão, principalmente por profissionais devidamente qualificados.

 

Em uma realidade onde empresas usam cada vez mais sistemas e aplicações, o PenTest se mostra fundamental para a estratégia de Segurança das organizações. Para se ter uma ideia, pesquisas revelam que empresas têm mais de 800 apps em uso (cerca de 20% a mais que o previsto) e, apesar de muitos deles terem bons recursos de proteção, alguns aplicativos contém vulnerabilidades e brechas capazes de comprometer os negócios das empresas.

 

É diante desse contexto que os testes de intrusão se mostram necessários. Eles auxiliam na elaboração de estratégias de proteção que garantem a confidencialidade, integridade e disponibilidade das informações e ambientes de processamento de dados, evitando vazamento e roubo de dados. 

 

A qualificação do profissional de PenTester

 

Aí você se pergunta: mas se eu tenho uma equipe boa de TI e SI, por que eu não posso pedir que eles façam um PenTest? Muitos das varreduras de redes comuns, confundidos com testes de intrusão, geram uma infinidade de falsos-positivos. Um profissional qualificado se certificará qual vulnerabilidade é realmente capaz de trazer algum risco real à empresa.

 

Esse profissional possui habilidades bastante específicas, que vão muito além do perfil técnico de quem, esporadicamente, faz as vezes de PenTester. Ele tem que ser autodidata e estar antenado com os principais fóruns de hacker para troca de informações, além de contar certificações internacionais, como Certified Ethical Hacker (CEH), Offensive Security Certified Proffesional (OSCP) e Certified Information Systems Security Professional‎ (CISSP).

 

Quando se fala em PenTest, o Gray Box é um dos mais comuns, pois os testes são iniciados às cegas e sem nenhuma informação do ambiente a fim de mapear e analisar as vulnerabilidades existentes. Em seguida, as credenciais são utilizadas para simular usuários internos legítimos (ex.: colaboradores) e verificar quais fraudes e brechas podem ser exploradas por um possível invasor.

 

Algumas instituições realizam testes constantemente antes de disponibilizarem serviços aos usuários. No entanto, é recomendável que a maior parte das organizações realize um ou dois testes por ano, na modalidade Gray Box, complementado por Scan/Varreduras trimestrais de vulnerabilidades.

 

A AuditSafe disponibiliza um time qualificado de profissionais que realizam PenTests em instituições de segmentos variados. Entre os serviços prestados estão o monitoramento dos ativos de infraestrutura, preparação de relatórios personalizados, interação humana para validação das vulnerabilidades e todo o apoio técnico dos nossos consultores na Gestão do Ciclo de Vida das Vulnerabilidades, do início ao fim da sua tratativa.

 

Para saber mais sobre o nosso serviço, clique aqui ou pergunte como nós podemos ajudá-lo no espaço abaixo.

 

 

 

 

 

Resolução No 4.658: o que você tem a ver com isso?

De: Fernando Ferreira, CEO da AuditSafe

Data: 10/07/2018

Espera-se que alguns dos novos quesitos de Segurança virem referência para a maioria das empresas, no entanto, instituições devem continuar investindo em trabalhos de Avaliação de Riscos de Cibersegurança em seus ambientes.

 

A nova Resolução No 4.658, publicada recentemente pelo Banco Central, foi vista com bons olhos pelos profissionais de Segurança como um todo. Ao estabelecer a necessidade das instituições financeiras em ter uma política de segurança cibernética, incluindo um plano de ação e de resposta a incidentes, bem como a definição dos requisitos para contratação de serviços em processamento e armazenamento de dados e de computação em nuvem.

 

Espera-se que alguns desses itens virem referência para outros setores além do setor financeiro.
 
As organizações que possuírem os processos de Segurança da Informação bem-estruturados terão mais facilidade para implementar o detalhamento dos controles exigidos pela referida resolução. 

 

Um aspecto importante da resolução 4.658, é que a instituição deverá nomear um diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de respostas a incidentes, além de reportar periodicamente sobre o andamento e tratamento das ações junto ao Banco Central.

 

Seguem algumas datas importantes previstas pela resolução que a instituição deve ficar atenta:
 
•    03/10/2018 - Data limite para apresentação do Plano de Adequação

•    06/05/2019 - Data limite para Elaboração e Aprovação da Política de Segurança Cibernética

•    31/12/2019 e 31/03/2020 - Data base e de limite para apresentação do 1º relatório anual

•    31/12/2021 - Data limite para adequação às diretrizes da resolução
 
Em virtude desse cenário, a AuditSafe tem sido contatada frequentemente como prestadora de serviços para avaliar o ambiente tecnológico dessas instituições de modo a avaliar sua aderência dos controles estabelecidos por essa resolução.

 

Tais serviços, incluem, por exemplo, analisar o nível de maturidade de processos, pessoas e das tecnologias existentes; identificar as fragilidades nos controles e exposição dos riscos atuais; e elaborar os planos de ação para correção e mitigação dos riscos de acordo com as necessidades de negócios.

 

Saiba mais.